Содержание:
* В данном материале группа компаний понимается как условное обозначение компаний, объединенных в определенную структуру, и не относится только к холдингу в соответствии с определением, приведенным в НК.
Соотношение понятий передачи и обработки персональных данных
Понятие «обработка персональных данных», содержащееся в Законе Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон), напрямую не включает в себя передачу персональных данных. Обработка, исходя из формулировки Закона, охватывает любые действия или совокупность действий, совершаемых с персональными данными.
По своей сути передача данных может быть отнесена к предоставлению данных, поскольку в таком случае осуществляются действия, при которых данные становятся доступными определенному кругу лиц. Несмотря на отсутствие законодательного определения передачи персональных данных, такие действия в любом случае являются обработкой персональных данных.
Определение правового основания для обработки
Следующий вопрос, на который должна ответить компания, у которой уже имеются (или которая планирует собирать) персональные данные: какое правовое основание выбрано для таких действий и правильно ли оно определено?
Важно учитывать, что передача возможна только в отношении уже собранных данных. Иными словами, те данные, которые компания планирует передавать далее, должны уже быть получены. При этом получение данных должно быть осуществлено на каком-либо правовом основании.
Например, данные могут быть получены от работников в рамках трудовых отношений, или от клиентов, которые предоставили сведения о себе в рамках заполнения анкет, или от физических лиц при заключении договоров с ними. В первом случае сбор и дальнейшая обработка данных осуществляются без согласия физического лица (абз. 8 ст. 6 Закона). Во втором — предполагается получение согласия (если нет иных исключений). В третьем — согласие не требуется, так как правовым основанием выступают договорные отношения с субъектом персональных данных (абз. 15 ст. 6 Закона).
Часто компании ошибочно полагают, что если данные собраны «для обработки», то это по умолчанию разрешает любые действия с ними, в том числе их передачу третьим лицам. Особенно такая ошибка характерна для случаев, когда правовым основанием для обработки является согласие. Если физическое лицо согласилось на обработку как любые действия с персональными данными, то это не означает, что оно согласно на передачу данных кому угодно без ограничений.
Легальность передачи собранных данных зависит не от того, чьи данные собраны и кому они передаются. Передача данных допускается, если эти действия не выходят за пределы исходно определенной цели сбора таких данных. Например, данные работников собираются для оформления трудовых отношений и в рамках реализации прав и обязанностей нанимателя. Именно для реализации этих целей и связанных с ними действий возможна передача данных в иные организации.
Если организации, которым передаются данные, находятся в странах, которые не являются безопасными с точки зрения защиты данных, необходимо принять дополнительные меры для возможности такой передачи, в том числе обеспечить наличие правового основания для трансграничной передачи (ст. 9 Закона). Например, может потребоваться получение согласия работника с информированием его о рисках, имеющихся в зарубежном государстве, куда планируется передать данные. Возможным является также получение разрешения от Национального центра защиты персональных данных Республики Беларусь (далее — НЦЗПД), особенно в ситуациях, когда передача данных носит периодический характер, осуществляется в рамках стандартной деятельности компании, а значит, получать согласие на каждую такую передачу у субъекта данных может быть затруднительно или чрезмерно обременительно.
Справочно.
Перечень государств, где обеспечивается надлежащий уровень защиты прав субъектов персональных данных, установлен приказом НЦЗПД от 15.11.2021 № 14. Этим приказом также утвержден порядок получения разрешения НЦЗПД на передачу персональных данных в «небезопасные юрисдикции».
Определение статуса участников передачи данных
Закон однозначно говорит только о взаимоотношениях «оператор — уполномоченное лицо», устанавливая обязательные для выполнения требования в случае передачи данных между такими лицами (ст. 7, п. 2 ст. 13 Закона). В результате это приводит к тому, что компании пытаются все имеющееся разнообразие отношений «поместить» в эти рамки.
Однако возможны и иные связи между участниками отношений по обработке персональных данных, в частности, совместное осуществление деятельности операторов (сооператоров) или передача данных между самостоятельными операторами.
Справочно.
Оператор — государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных (абз. 8 ст. 1 Закона).
Уполномоченное лицо — государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах (абз. 16 ст. 1 Закона).
Ситуация сооператорства может возникать, когда оператор, например юридическое лицо, совместно с иным субъектом (государственным органом, юридическим лицом Республики Беларусь, иной организацией, физическим лицом, в том числе индивидуальным предпринимателем) организует и (или) осуществляет обработку персональных данных.
Таким образом, применительно к группе компаний необходимо определить, каким образом организованы бизнес-процессы, связанные с обработкой данных, а именно кто и на каком основании осуществляет сбор персональных данных. Возможны следующие варианты:
- компания исходно осуществляет сбор данных для себя, определяя цели сбора и дальнейшей обработки, объем данных и т.п. — она выступает оператором;
- компания осуществляет сбор и (или) дальнейшую обработку данных в интересах (от имени) другой компании — она будет являться уполномоченным лицом;
- предполагается совместное использование данных на момент их сбора, определение целей сбора данных осуществляется совместно — компании целесообразно считать сооператорами;
- одна компания собирает персональные данные для своих целей (например, данные работников в рамках трудовых отношений), а другая, получая эти данные, предполагает использовать их для иных целей (анализ данных, рассылки и т.п.). В таком случае цели исходного сбора данных не охватывают те цели, в рамках которых осуществляется передача и последующая обработка, а значит, каждый из участников выступает самостоятельным оператором, которому необходимо правовое основание для каких-либо действий с персональными данными.
Следует учитывать, что каждое юридическое лицо выступает как самостоятельный субъект применительно к процессам передачи персональных данных. В этой связи даже если данные передаются, например, на внутригрупповой сервер, находящийся за рубежом, с точки зрения белорусского законодательства передача осуществляется конкретному лицу (владельцу сервера), а уже далее к этим данным предоставляется доступ иным лицам, в том числе с учетом требований, которые имеются в иностранной юрисдикции.
Для обеспечения реализации требований законодательства возможно заключение «внутригруппового» соглашения, регулирующего вопросы передачи персональных данных между компаниями группы.
Отражение процессов передачи данных в документах
Одним из базовых принципов Закона является прозрачность обработки. Для обеспечения реализации этого принципа рекомендуется отразить информацию о возможности передачи данных иным компаниям в политике организации. Учитывая, что состав таких лиц может оперативно и существенно изменяться, а обновление политик при каждом изменении не всегда целесообразно, возможна следующая формулировка:
«Данные работников (иных лиц), полученные Компанией, размещаются на сервере Компании, который находится в стране А. Страна А относится к государствам, которые обеспечивают адекватную защиту персональных данных, в связи с чем передача данных не требует получения дополнительного согласия. Вместе с тем в случае, если получение такого согласия будет необходимым, Компания примет все требуемые в соответствии с законодательством меры для его получения от субъектов в установленном порядке».
При этом если передача данных иным организациям осуществляется в рамках группы компаний на основании согласия, до его получения требуется обеспечить предоставление физическому лицу полной информации о такой обработке.
Справочно.
28 ноября 2022 г. были опубликованы Разъяснения НЦЗПД о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных. НЦЗПД среди прочего разъяснил разграничение статусов оператора и уполномоченного лица, а также предложил стандартные положения для включения в договор между оператором и уполномоченным лицом о поручении обработки персональных данных.
Необходимо также учитывать, что компании должны обеспечить соблюдение требования законодательства относительно реализации права субъекта на получение информации о том, кому передавались его данные за последний год. Это в том числе касается передачи внутри группы компаний. Поэтому рекомендуется вести учет фактов передачи персональных данных третьим лицам. В случае поступления такого запроса, исходя из формулировки соответствующей нормы, следует указывать не всю группу компаний, а конкретное юридическое лицо, которому в действительности была осуществлена передача данных.
Резюме
Для правомерной передачи персональных данных в рамках группы компаний организации необходимо:
1) обеспечить наличие правового основания для сбора персональных данных и их передачи третьим лицам (участникам группы компаний);
2) определить свою роль в отношениях по обработке персональных данных;
3) включить информацию о передаче персональных данных в политику обработки персональных данных организации.
Дополнительно по теме:
>>Шакель Н., Кушнерова А. Требования к трансграничной передаче персональных данных // Юрист. — 2022. — № 9
>>Шакель Н., Кушнерова А. Понятие трансграничной передачи персональных данных // Юрист. — 2022. — № 8
